Ahtub Опубликовано 19 Июля 2005 Жалоба Поделиться Опубликовано 19 Июля 2005 Для клиентов будт фикс или нет? Ссылка на комментарий Поделиться на других сайтах Прочее
Dr.Freddy Опубликовано 19 Июля 2005 Жалоба Поделиться Опубликовано 19 Июля 2005 Для клиентов будт фикс или нет?Фикс чего? Автологина? Уязвимости UTF8? Обе проблемы решены на последних трёх страницах, читайте внимательнее или задавайте вопрос в клиентских форумах. Ссылка на комментарий Поделиться на других сайтах Прочее
Ahtub Опубликовано 19 Июля 2005 Жалоба Поделиться Опубликовано 19 Июля 2005 Фикс чего? Автологина? Уязвимости UTF8? Обе проблемы решены на последних трёх страницах, читайте внимательнее или задавайте вопрос в клиентских форумах.Мне вообще-то по-барабану, что там за фикс. Как клиент, я бы расчитывал на оперативное оповещение о багах и способах их лечения (из-за поддержки и покупал). И так уже уходит дофига времени на технические мероприятия, контентом некогда заниматься. Ссылка на комментарий Поделиться на других сайтах Прочее
Dr.Freddy Опубликовано 19 Июля 2005 Жалоба Поделиться Опубликовано 19 Июля 2005 Как клиент, я бы расчитывал на оперативное оповещение о багах и способах их лечения (из-за поддержки и покупал).Это уже к администрации вопрос. Вроде, базу знаний по IPB делали, видимо, скоро будет... Думаю, этот вопрос следует решать в спецфорумах или через форуму контакта с IBResource. Ссылка на комментарий Поделиться на других сайтах Прочее
Dekker Опубликовано 19 Июля 2005 Жалоба Поделиться Опубликовано 19 Июля 2005 >>Мне вообще-то по-барабану, что там за фикс. по барабану форум, тогда зачем покупали ? что бы просто загубить ? а данный фикс обсуждался и в клиентской части. или предлагаете разработать систему экстренного оповещения клиентов на мобильные телефоны с содержанием SMS как фиксить ? не проще прочитать форум хотя бы, или клиентскую часть ? Ссылка на комментарий Поделиться на других сайтах Прочее
LinuxMan Опубликовано 19 Июля 2005 Жалоба Поделиться Опубликовано 19 Июля 2005 во, во, ув. пользователи, почему бы вам самим не составить такой патч, или например создать отдельную тему только с багами и фиксами, без обсуждения ? да еще сверстать ее, да еще в CHM закомпилить ? слабо ?<{POST_SNAPBACK}>Не-Не. Никакого CHM! Про линуксоидов снова забыли? Уже за людей нас не считаете? А ведь всё наоборот 2хрен Чо вабще абарзел? Ты чего на opensource-ников наезджаеш? По тыкве надавать? Ссылка на комментарий Поделиться на других сайтах Прочее
Dekker Опубликовано 19 Июля 2005 Жалоба Поделиться Опубликовано 19 Июля 2005 так, без флуда, народ и так лениться причитать тему полностью. так что прекратили левые беседы. Ссылка на комментарий Поделиться на других сайтах Прочее
nafigator Опубликовано 19 Июля 2005 Жалоба Поделиться Опубликовано 19 Июля 2005 И всё же, для клиентов лента "уязвимость/решение" будет?.. Ссылка на комментарий Поделиться на других сайтах Прочее
Dr.Freddy Опубликовано 19 Июля 2005 Жалоба Поделиться Опубликовано 19 Июля 2005 Господа клиенты, а может, хватит флудить в полезной теме? Перебирайтесь в клиентский форум. Ссылка на комментарий Поделиться на других сайтах Прочее
GiV Опубликовано 19 Июля 2005 Жалоба Поделиться Опубликовано 19 Июля 2005 И всё же, для клиентов лента "уязвимость/решение" будет?..<{POST_SNAPBACK}>в ближайшие месяца полтора не планируется. Ссылка на комментарий Поделиться на других сайтах Прочее
c250 Опубликовано 19 Июля 2005 Жалоба Поделиться Опубликовано 19 Июля 2005 Здравствуйте.Хочу задать вопрос по поводу уязвимости "SQL injection autologin"У меня версия форума 1.1.2. Здесь в прикреплённой теме лежат патчи для исправления этого бага только для версий 1.2.х 1.3.х и выше. Какой из них подойдёт для моего форума? Ссылка на комментарий Поделиться на других сайтах Прочее
Vic'er Опубликовано 20 Июля 2005 Жалоба Поделиться Опубликовано 20 Июля 2005 Здравствуйте.Хочу задать вопрос по поводу уязвимости "SQL injection autologin"У меня версия форума 1.1.2. Здесь в прикреплённой теме лежат патчи для исправления этого бага только для версий 1.2.х 1.3.х и выше. Какой из них подойдёт для моего форума?<{POST_SNAPBACK}> Если ты о том, о чем я и подумал - то это фикс для всех версий IPB от 1.x до 2.1 включительно Ссылка на комментарий Поделиться на других сайтах Прочее
Anna Опубликовано 22 Июля 2005 Жалоба Поделиться Опубликовано 22 Июля 2005 (изменено) Не могу никак закрыть вот эту дырку:http://www.securitylab.ru/54227.html Предложенное GiV исправление:Исправление производится в файле /sources/functions.php находим Кодfunction parse_incoming() { global $ibforums; $this->get_magic_quotes = get_magic_quotes_gpc(); Ниже вставляем:Код $_SERVER['QUERY_STRING'] = str_replace( "'", "'", $_SERVER['QUERY_STRING'] ); Вместо ' должно быть " 39;" естественно без пробела... По всей видимости исправляет уязвимость 2 - где теги. А возможность вставки "><script>alert()</script> в тему личного сообщения не закрывается. Еще я не совсем понимаю последнюю фразу из приведенной цитаты и то, каким образом она коррелирует с str_replace строкой выше, которая предлагается как исправление. Нельзя ли пояснить или дать ссылку на более детальное обсуждение? П.С. Внедрение "><script>alert()</script> в тему личного сообщения работает даже на этом форуме - только что проверила. Изменено 22 Июля 2005 пользователем Anna Ссылка на комментарий Поделиться на других сайтах Прочее
Samir Опубликовано 22 Июля 2005 Жалоба Поделиться Опубликовано 22 Июля 2005 кто то поставил на маем форуме аватар и тот ето прочтет его пост cookie будут у него сначала не поверил потом этот парен зашел в админку под моим ником сейчас я отклячил аватар к всех как я могу предвратит это подругому Ссылка на комментарий Поделиться на других сайтах Прочее
Dekker Опубликовано 22 Июля 2005 Жалоба Поделиться Опубликовано 22 Июля 2005 [iPB 1.3.x и 2.0.x] Обновление безопасности Ссылка на комментарий Поделиться на других сайтах Прочее
Anna Опубликовано 22 Июля 2005 Жалоба Поделиться Опубликовано 22 Июля 2005 (изменено) А как насчет моего вопроса?Дырочка хоть и маленькая , а есть и даже тут. Изменено 22 Июля 2005 пользователем Anna Ссылка на комментарий Поделиться на других сайтах Прочее
GiV Опубликовано 22 Июля 2005 Жалоба Поделиться Опубликовано 22 Июля 2005 а почему у меня "><script>alert()</script> не работает? =( Ссылка на комментарий Поделиться на других сайтах Прочее
Anna Опубликовано 22 Июля 2005 Жалоба Поделиться Опубликовано 22 Июля 2005 а ты попробуй вот так: Личные данные / Новое личное сообщение / заголовок: "><script>alert()</script>текст: 111нажать кнопку: "предварительный просмотр" результат: выпрыгивает окошко алерта Ссылка на комментарий Поделиться на других сайтах Прочее
GiV Опубликовано 22 Июля 2005 Жалоба Поделиться Опубликовано 22 Июля 2005 предпросмотр... ясно Ссылка на комментарий Поделиться на других сайтах Прочее
X@MиЛь Опубликовано 22 Июля 2005 Жалоба Поделиться Опубликовано 22 Июля 2005 во, во, ув. пользователи, почему бы вам самим не составить такой патч, или например создать отдельную тему только с багами и фиксами, без обсуждения ? да еще сверстать ее, да еще в CHM закомпилить ? слабо ?<{POST_SNAPBACK}>Вот именно! Нам слабо поэтому мы все и сидим на IBResource! Ибо тут рулят мастера! Уваженье вам Если бы мог я бы занялся таким патчем. Ведь идея то очень хороша! Это был бы мошьнейший удар всем поганым хакерам в харю! Мир во всём мире! А за такой патч я бы возможно и нашол бы денег, ведь оно стоит того! Ссылка на комментарий Поделиться на других сайтах Прочее
Mitos Опубликовано 22 Июля 2005 Жалоба Поделиться Опубликовано 22 Июля 2005 а у меня на локалке не работает версия 1.3.1 трабла только с двухой ? Ссылка на комментарий Поделиться на других сайтах Прочее
Anna Опубликовано 22 Июля 2005 Жалоба Поделиться Опубликовано 22 Июля 2005 да. только двуха. судя по вялой реакции, наверное все думают, что это абсолютно нормально и никакой опасности нет. 25 апреля 2005 Межсайтовый скриптинг в Invision Power BoardПрограмма: Invision Power Board 2.x Опасность: Низкая Наличие эксплоита: Да Ссылка на комментарий Поделиться на других сайтах Прочее
pritorian Опубликовано 22 Июля 2005 Жалоба Поделиться Опубликовано 22 Июля 2005 А как насчет моего вопроса?Дырочка хоть и маленькая , а есть и даже тут.<{POST_SNAPBACK}> так и нет решения проблемы? Ссылка на комментарий Поделиться на других сайтах Прочее
GiV Опубликовано 22 Июля 2005 Жалоба Поделиться Опубликовано 22 Июля 2005 Файл ./sources/lib/msg_functions.phpНаходим:$old_title = preg_replace( "/'/", "& #39;", $std->txt_stripslashes($_POST['msg_title']) );Между & и # пробела нет! Заменяем на$old_title = $std->txt_htmlspecialchars($std->txt_stripslashes($_POST['msg_title']) ); Ссылка на комментарий Поделиться на других сайтах Прочее
Mokkey Опубликовано 23 Июля 2005 Жалоба Поделиться Опубликовано 23 Июля 2005 2 GiV Лично у меня подобное решение проблемы Заголовка ЛС на форуме версии 2.0.4 приводит к следущему (как на локальной, так и на серверной версии): Parse error: parse error in b:\home\forum.test\www\sources\lib\msg_functions.php on line 157 Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения